Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Sichere Anwendungsentwicklung : Die neue OWASP Top 10: Risiko durch Non-Human Identities

Non-Human Identities (NHIs) bedrohen IT-Systeme weltweit. Angreifer kapern kompromittierte Bots, Service-Konten oder API-Schlüssel, um tief in Unternehmensnetzwerke einzudringen. Fehlende Sicherheitskontrollen machen NHIs zum perfekten Einfallstor für Cyberkriminelle. Die neue OWASP Top 10 für NHIs weist auf blinde Flecken hin, wie fest kodierte Anmeldedaten, fehlende Protokollierung von Service-Konten oder schlampig vergebene Berechtigungsschemata.

Nicht menschliche Identitäten (Non-Human Identities, NHIs) autorisieren Software-Entitäten wie Anwendungen, APIs, Bots und automatisierte Systeme für den Zugriff auf gesicherte Ressourcen. Moderne Software arbeitet weitgehend automatisiert und vernetzt. NHIs sind deshalb in vielen Fällen aus der Anwendungsentwicklung nicht mehr wegzudenken. Einige Beispiele:

  • Microservices nutzen API-Schlüssel, um auf Datenbankanwendungen zuzugreifen
  • Service-Konten von Backend-Systemen, die mehrere Subsysteme miteinander verbinden
  • Rollen, die mit automatisierten Diensten verbunden sind, die ihrerseits auf Cloud-Ressourcen zugreifen
  • Token, die Bots verwenden, um auf geschützte Anwendungsressourcen zuzugreifen

Im Gegensatz zu menschlichen Identitäten werden NHIs nicht von einem Menschen kontrolliert oder ihm zugeordnet. Nicht nur funktionieren Identity Objects und Authentifizierung anders als bei menschlichen Identitäten, auch die üblichen Sicherheitsmaßnahmen greifen nicht. Die unsachgemäße Verwaltung von NHIs birgt laut OWASP deshalb nicht unerhebliche Sicherheitsrisiken. Dazu zählen beispielsweise:

  • Übermäßig weit gefasste Berechtigungen: NHI bekommen in aller Regel sehr weitreichenden Zugriff auf Ressourcen. Sollte es zu einer Kompromittierung kommen, sind die Schäden entsprechend gravierend.
  • Management von Anmeldeinformationen: Beim Management von NHI-Anmeldeinformationen kann es leicht zu Fehlern kommen. Etwa, wenn hart kodierte Schlüssel im Code belassen werden, Rotationsrichtlinien unzureichend sind oder schlicht fehlen. Auch veraltete Authentifizierungsmethoden machen NHIs anfällig.
  • Mangelnde Überwachung: NHI werden bekanntermaßen nur unzureichend überwacht, sodass böswillige Aktivitäten oft nicht bemerkt werden.

Allein aus den letzten beiden Jahren gibt es eine Reihe von Beispielen für Datenschutzverletzungen oder Angriffe auf die Infrastruktur, darunter der nationalstaatlich gesponserte Angriff von Midnight Blizzard auf den Microsoft Mandanten im Januar 2024 und den Vorfall bei Internet Archive im Oktober desselben Jahres.

OWASP warnt vor den Risken von NHIs – Zu Recht

Nicht-menschliche Identitäten bilden die verborgene Belegschaft der modernen Technologie. Ob Bots, automatisierte Skripte oder KI-Agenten, die Apps bereitstellen, Tests durchführen und Daten verarbeiten. Bei all diesen Fällen ist keinerlei menschliche Anmeldung nötig. Dennoch gehen viele Unternehmen an das Thema NHI-Sicherheit erstaunlich blauäugig heran und fokussieren sich rein auf menschliche Identitäten.

In der Praxis ist es bereits vorgekommen, dass Firmen den Überblick über ein einziges Token verloren haben. Ein Token, das einem Angreifer vollen Zugriff auf sensible Systeme gewährt hat. Eine Folge davon, dass Non-Human Identities nicht wie echte Benutzer behandelt werden. Ein kompromittierter KI-Agent ist in der Lage, Daten in Sekundenschnelle zu stehlen, Hintertüren einzurichten oder kostspielige Cloud-Ressourcen in Anspruch zu nehmen. Ähnliches lässt sich auch über ein kompromittiertes Service-Konto bewerkstelligen – ohne dass ein Mensch eingreifen müsste. Zwei weitere Beispiele aus der Praxis: ein einziger übersehener API-Schlüssel reicht aus, um ein komplettes Netzwerk zu entsperren und ein manipuliertes Container-Image wurde problemlos in eine Build-Pipeline eingespeist. Niemand hatte geprüft, ob es wirklich sicher war.

Solche Probleme werden selten bemerkt. Und wenn, dann meistens zu spät. Herkömmliche Sicherheitschecklisten sind kaum geeignet, die einzigartigen Risiken von Token, Dienstkonten und KI-gesteuerten Prozessen zu erfassen. Deshalb konzentriert sich die OWASP Top 10 genau auf diese NHIs. Die neue OWASP-Liste will Unternehmen deutlich stärker in die Pflicht nehmen, sich mit fest codierten Anmeldedaten, zu weit gefassten Berechtigungen und mangelhaft überwachten KI-Systemen auseinanderzusetzen. Die aktuelle Liste trägt ohne Frage dazu bei, Sicherheitsrisiken zu beheben, die sonst leicht übersehen werden.

Die OWASP Top 10 legt dazu etliche der kritischen Bereiche offen. Aber es gibt weitere Risiken, die man nicht außer Acht lassen sollte. So entziehen sich beispielsweise kurzlebige Umgebungen, in denen Container oder serverlose Funktionen nur für kurze Zeit existieren, nicht selten den gängigen Sicherheitsüberprüfungen. Mit der raschen Weiterentwicklung von KI-basierten Technologien treten zudem immer häufiger neue, KI-spezifische Schwachstellen auf. Um mit aktuellen Bedrohungen Schritt zu halten, sollte man diese Faktoren unbedingt mit einbeziehen.

Was Firmen tun können

Es lässt sich kaum leugnen, dass nicht menschliche Identitäten bei der Anwendungsentwicklung eine wichtige Rolle spielen. Sie sparen Zeit, eliminieren manuelle Fehler und sie erledigen Aufgaben enorm schnell. Gerade diese Geschwindigkeit aber treibt das Risiko in die Höhe. Wird etwa ein Bot oder KI-Agent kompromittiert, kann er ungleich schneller Daten abgreifen oder Server hochfahren als jeder menschliche Hacker.

Es gibt einige Maßnahmen auf die Sicherheitsteams deshalb nicht verzichten sollten:

  • Alle Dienstkonten nachverfolgen
  • Secrets nach einem Zeitplan rotieren
  • Berechtigungen einschränken und jede Bewegung dieser Bots protokollieren

Beispiel kurzlebige Umgebungen: Entwickler richten heute Container oder serverlose Funktionen ein, die lediglich für wenige Minuten oder Stunden bestehen. Die üblichen Sicherheitskontrollen greifen dann nicht. Gelingt es einem Angreifer, auf ein Token zuzugreifen, das in diesen kurzlebigen Systemen verwendet wird, kann er immensen Schaden anrichten, meist bevor jemand darauf aufmerksam wird.

Für automatisierte Konten empfiehlt sich ein Zero-Trust-Ansatz. Statt davon auszugehen, dass jeder Bot oder KI-Agent per se sicher ist, sollte man jede Anfrage so lange als nicht vertrauenswürdig behandeln, bis man sie verifiziert hat. In der Praxis heißt das, den Zugriff auf das zu beschränken, was der Bot tatsächlich benötigt. Gleichzeitig sollte man potenziell ungewöhnliches Verhalten überwachen und bei jedem Schritt eine strenge Authentifizierung durchsetzen. Auch wenn es einem Angreifer dann gelingt, das Konto zu übernehmen, wird er Schwierigkeiten haben, sich in der typischen Seitwärtsbewegung im Netz voranzutasten oder Berechtigungen zu erweitern.

Fazit

Eine OWASP Top 10 für NHIs ist längst überfällig. Sie gibt Sicherheitsexperten einen Fahrplan an die Hand, um die aktuelle Welle maschinengesteuerter Bedrohungen besser zu bewältigen. Die „unsichtbare Belegschaft“ wird nicht einfach verschwinden, und es ist an der Zeit, sie besser zu schützen. Der nächste große Sicherheitsvorfall nimmt seinen Ausgang vielleicht bei einem einzigen vergessenen Token oder einem KI-Skript, das niemand im Auge behalten hat.

Die Geschwindigkeit und die schiere Zahl dieser Identitäten machen sie besonders anfällig. Automatisierte Builds, Container-Images oder KI-Bereitstellungen haben das Potenzial, bösartigen Code blitzschnell in einer Umgebung zu verbreiten. Mit der wachsenden KI-gesteuerten Automatisierung wird diese Art der Bedrohung weiter zunehmen. Ein KI-Agent mit umfassenden Berechtigungen ist für Angreifer besonders attraktiv. Gelingt es, einen solchen zu kapern, ist das Schadenspotenzial enorm.

Ein weiteres Risiko besteht für die Lieferketten: Eine infizierte Bibliothek oder ein infiziertes Image kann die Abwehrmechanismen unterlaufen, wenn es von vertrauenswürdigen Bots mit einem Update heruntergeladen wird.

Deshalb ist die dedizierte OWASP Top 10 für NHIs so wichtig. Die Liste weist auf blinde Flecken hin, wie fest kodierte Anmeldedaten, die fehlende Protokollierung von Service-Konten oder schlampig vergebene Berechtigungsschemata. Um nicht menschliche Identitäten abzusichern, sollte man Privilegien einschränken, Secrets rotieren und das Verhalten von NHIs generell überwachen – genau wie bei menschlichen Benutzern. Wenn Firmen darauf verzichten, ist es nur eine Frage der Zeit, bis diese NHIs aus den falschen Gründen Schlagzeilen machen.

 

Autor

Akhil Mittal ist Sr. Manager and DevSecOps Professional bei Black Duck.